Partilhar via

Permissões de consentimento de aplicativo para funções personalizadas no Microsoft Entra ID

  • Artigo

Este artigo contém as permissões de consentimento de aplicativo atualmente disponíveis para definições de função personalizadas no Microsoft Entra ID. Neste artigo, você encontrará as permissões necessárias para alguns cenários comuns relacionados ao consentimento e às permissões do aplicativo.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os seus requisitos, veja Compare as funcionalidades geralmente disponíveis do Microsoft Entra ID.

Use as permissões listadas neste artigo para gerenciar políticas de consentimento de aplicativos, bem como a permissão para conceder consentimento a aplicativos.

Observação

O centro de administração do Microsoft Entra ainda não suporta a adição das permissões listadas neste artigo a uma definição de função personalizada. Você deve usar o Microsoft Graph PowerShell para criar uma função personalizada com as permissões listadas neste artigo.

Para permitir que os usuários concedam consentimento a aplicativos em nome deles mesmos (consentimento do usuário), sujeito a uma política de consentimento do aplicativo.

  • microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}

Onde {id} é substituído pela ID de um política de consentimento do aplicativo que definirá as condições que devem ser atendidas para que essa permissão esteja ativa.

Por exemplo, para permitir que os usuários concedam consentimento em seu próprio nome, sujeito à política de consentimento de aplicativo interna com ID microsoft-user-default-low, você usaria a permissão ...managePermissionGrantsForSelf.microsoft-user-default-low.

Para delegar o consentimento de administrador de todo o locatário a aplicativos, tanto para permissões delegadas quanto para permissões de aplicativos (funções de aplicativo):

  • microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}

Quando {id} é substituído pela ID de uma política de consentimento do aplicativo que definirá as condições que devem ser atendidas para que essa permissão seja utilizável.

Por exemplo, para permitir que os cessionários de função concedam consentimento de administrador abrangente a aplicativos sujeitos a uma política de consentimento de aplicativo personalizada com ID low-risk-any-app, usaria a permissão microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.

Para delegar a criação, atualização e exclusão de políticas de consentimento da aplicação .

  • microsoft.directory/permissionGrantPolicies/create
  • microsoft.directory/permissionGrantPolicies/standard/read
  • microsoft.directory/permissionGrantPolicies/basic/update
  • microsoft.directory/permissionGrantPolicies/excluir

Lista completa de permissões

Permissão Descrição
microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} Concede a capacidade de consentir com aplicativos em nome próprio (consentimento do usuário), sujeito à política de consentimento do aplicativo {id}.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} Concede a permissão para consentir aplicações em nome de todos (consentimento de administrador em todo o inquilino), de acordo com a política de consentimento de aplicações {id}.
Política de Concessão de Permissões da Microsoft: microsoft.directory/permissionGrantPolicies/standard/read Leia as propriedades padrão das políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/basic/update Atualizar propriedades básicas de políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/create Criar políticas de concessão de permissão
microsoft.directory/permissionGrantPolicies/excluir Excluir políticas de concessão de permissão

Próximos passos